Posté le septembre 12, 2022 à 7:53
DES HACKERS CHINOIS IMPLANTENT LE LOGICIEL MALVEILLANT PLUGX POUR CIBLER DES PERSONNALITÉS POLITIQUES
Un groupe de menaces persistantes avancées (APT) soutenu par la Chine a mené une vaste campagne contre plusieurs cibles dans des pays qui intéressent la Chine. Selon le rapport, le groupe de menace utilise des documents qui usurpent les avis diplomatiques officiels pour tromper ses victimes.
L’unité de lutte contre les menaces (Counter Threat Unit, CTU) de Secureworks, qui a observé les activités des hackers, a déclaré que les acteurs de la menace ont mené une série d’attaques qui se sont déroulées en juin et juillet. Ils ont utilisé le logiciel malveillant PlugX pour infecter les systèmes informatiques de responsables gouvernementaux dans plusieurs pays d’Amérique du Sud, du Moyen-Orient et d’Europe.
Le logiciel malveillant est extrêmement dangereux
D’après les caractéristiques observées dans la campagne, l’entreprise de sécurité a noté que l’attaque est probablement menée par des hackers du Bronze President parrainés par le gouvernement Chinois. Outre l’utilisation de PlugX, ils ont également utilisé un shellcode dans les en-têtes et les chemins d’accès des fichiers exécutables. En outre, les attaques comprennent l’utilisation de documents à thème politique qui correspondent aux régions dans lesquelles la Chine a un intérêt.
PlugX est un type de logiciel malveillant modulaire qui pointe vers le serveur de commande et de contrôle (C2) pour effectuer des tâches. Il peut aussi télécharger des plugins supplémentaires qui amélioreront sa puissance d’attaque. Les caractéristiques supplémentaires peuvent améliorer sa fonctionnalité et ses capacités au-delà de la simple collecte d’informations, ce qui le rend très puissant et dangereux.
Les acteurs de la menace intègrent le logiciel malveillant dans les fichiers d’archive RAR pour atteindre sa cible, ce qui rend très difficile de le détecter et de déterminer ses intentions. Il se fait passer pour un document lorsque l’utilisateur ouvre l’archive sur un système Windows avec les paramètres par défaut, ce qui permet l’affichage d’un raccourci Windows (LNK).
Le raccourci comporte également un dossier caché qui contient un logiciel malveillant. Il est placé à huit niveaux de profondeur dans plusieurs dossiers cachés nommés avec des caractères spéciaux. La méthode est déployée pour contourner les défenses d’analyse des e-mails qui pourraient omettre des parties spécifiques lorsqu’elles analysent le contenu. En conséquence, les chercheurs suggèrent que les acteurs de la menace utilisent des méthodes d’envoi d’e-mails d’hameçonnage car ils n’ont pas d’autre avantage réel à le faire.
Cependant, l’utilisateur doit encore prendre des mesures avant de pouvoir activer le logiciel malveillant PlugX. Il doit cliquer sur le fichier LINK, ce qui permet à la charge utile PlugX de se charger, de se décrypter et d’exécuter ses actions. Au cours du processus, l’opération abandonne systématiquement le document leurre, libérant le logiciel malveillant pour qu’il puisse commencer ses actions initialement prévues.
Les activités des hackers ciblent les responsables gouvernementaux
Selon les équipes de la CTU, les activités des acteurs de la menace visent les responsables gouvernementaux de divers pays auxquels la Chine s’intéresse. Cela signifie qu’elles sont conçues pour cibler des fonctionnaires de haut rang des pays d’intérêt qui peuvent avoir des informations hautement sensibles sur leurs ordinateurs ou appareils.
Bronze President s’intéresse à la guerre en Ukraine
L’équipe de sécurité a cité un exemple où les hackers ont ciblé un fonctionnaire Turc. Ils ont envoyé une notification censée provenir du gouvernement Britannique, informant la cible qu’un nouvel ambassadeur avait été nommé. Le message a été envoyé pour susciter une réaction de la part de la cible avant que les hackers ne passent à l’étape suivante de leur plan. En réalité, il n’y a pas eu de changement à ce poste, puisque Domnick Chilcott est toujours l’ambassadeur Britannique à Ankara.
La campagne menée contre la Turquie par les hackers Chinois reflète l’importance stratégique de la bataille en cours pour l’Ukraine.
La guerre en Ukraine a attiré plusieurs hackers et hacktivistes qui ont choisi de soutenir l’Ukraine ou la Russie dans la bataille en cours.
Bronze Président, qui a été très actif cette année, a montré un intérêt accru pour l’Ukraine, bien qu’il ne semble pas prendre parti pour l’un ou l’autre. Il a soutenu le programme de collecte de renseignements de la Chine en rapport avec la guerre.
Plus tôt en mai, les chercheurs de Cisco Talos ont observé que le groupe de menaces ciblait des entités Russes et Européennes. Dans ce cas, il utilisait également PlugX pour usurper le rapport de l’Union Européenne sur la guerre.
Les organisations sont invitées à se méfier des représentants de gouvernement
L’équipe de Secureworks a ajouté que Bronze President a fait preuve d’une forte capacité et d’une aptitude à se déplacer rapidement vers de nouvelles opportunités de collecte de renseignements. Le groupe est composé d’une équipe d’attaque sophistiquée qui utilise des outils de haut niveau pour ses opérations d’usurpation. Ils font en sorte que l’attaque ait l’air de provenir de la véritable organisation pour laquelle ils se déguisent.
En conséquence, l’équipe de Secureworks a averti les organisations situées dans les régions ciblées par la Chine de surveiller les activités du groupe. Elles doivent se méfier particulièrement des organisations qui prétendent opérer en tant qu’agences gouvernementales ou qui ont des liens avec le gouvernement.
